思科交换机网络操作系统发现新缺陷

Cisco发布了软件更新，以解决其软件中的四个安全漏洞，这些漏洞可能会被恶意行为者用来控制受影响的系统。

最关键的缺陷是CVE-2022-20650（CVSS分数：8.8），这与Cisco NX-OS软件NX-API功能中的命令注入缺陷有关，该缺陷源于用户提供的数据缺乏足够的输入验证。

“攻击者可以通过向受影响设备的NX-API发送精心编制的HTTP POST请求，利用此漏洞进行攻击，”Cisco说。“成功利用此漏洞可使攻击者在底层操作系统上以root权限执行任意命令。”

该漏洞会影响运行Cisco NX-OS软件且已启用NX-API功能的独立NX-OS模式下的Nexus 3000系列交换机、Nexus 5500平台交换机、Nexus 5600平台交换机、Nexus 6000系列交换机和Nexus 9000系列交换机。

还修补了NX-OS中的两个严重拒绝服务（DoS）漏洞–；CVE-2022-20624和CVE-2022-20623（CVSS得分：8.6）和#8211；可在Cisco Fabric Services Over IP（CFSoIP）和双向转发检测（BFD）流量功能中找到。

美国国家安全局（NSA）向思科报告的CVE-2022-20624影响了Nexus 3000和9000系列交换机以及UCS 6400系列结构互连，前提是启用了CFSoIP。另一方面，CVE-2022-20623只影响已开启BFD的Nexus 9000系列交换机。

最后，这家网络设备制造商还修补了Cisco FXOS软件和Cisco NX-OS软件的Cisco Discovery Protocol服务中的第三个DoS漏洞（CVE-2022-20625，CVSS分数：4.3），该漏洞可能“允许未经验证的相邻攻击者重新启动服务，导致拒绝服务（DoS）情况。”

思科表示，它不知道上述漏洞有“任何公告或恶意使用”。也就是说，建议用户迅速采取行动，应用必要的更新，以防止潜在的实际攻击。